🔐 Cyber Security Daily News | 29.04.2026

Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.

---

📰 NEWS

Chiński haker z grupy Silk Typhoon ekstradowany z Włoch do USA — 12 700 zhakowanych organizacji

Xu Zewei, 34-letni obywatel Chin, wylądował w USA i stanął przed sądem federalnym w Houston po ekstradycji z Włoch, gdzie aresztowano go w 2025 roku na wniosek FBI. Prokuratorzy zarzucają mu, że jako pracownik firmy Shanghai Powerock Network działał jako wynajęty haker dla chińskiego Ministerstwa Bezpieczeństwa Państwowego (MSS). Xu miał uczestniczyć w głośnej kampanii szpiegowskiej HAFNIUM — później przemianowanej na Silk Typhoon — która w 2020–2021 roku skompromitowała ponad 12 700 organizacji w USA. Celem były uczelnie, kancelarie prawne, think-tanki obronne i laboratoria badające szczepionki przeciw COVID-19 — skradziono m.in. pełne skrzynki pocztowe wirusologów. Głównym narzędziem ataku było exploitowanie ówczesnych luk zero-day w serwerach Microsoft Exchange. Co-oskarżony Zhang Yu pozostaje na wolności. Sprawa jest historycznym precedensem — Chiny rutynowo odmawiają wydawania własnych obywateli.

Źródło: CyberScoop [EN], Infosecurity Magazine [EN], SecurityWeek [EN]

---

Krytyczna luka CVSS 9.8 w Nginx UI — atak przez niezabezpieczony endpoint MCP

Badacze z Pluto Security odkryli podatność CVE-2026-33032 o ocenie 9,8 w skali CVSS w Nginx UI — popularnym panelu webowym do zarządzania serwerem nginx, który ma prawie 11 000 gwiazdek na GitHubie i ponad 430 000 pobrań obrazu Dockera. Problem tkwił w integracji z AI: endpoint /mcp_message, służący do obsługi poleceń dla systemów agentowych (MCP), nie wymagał uwierzytelnienia — w przeciwieństwie do powiązanego /mcp. Domyślna lista dozwolonych adresów IP była pusta, co faktycznie oznaczało dostęp bez ograniczeń dla każdego. Atakujący mógł przez sieć zdalnie modyfikować konfigurację nginx, restartować usługę i odczytywać pliki konfiguracyjne — bez logowania się gdziekolwiek. Problem naprawiono w wersji 2.3.4. Administratorzy powinni niezwłocznie zaktualizować swoje instalacje i ograniczyć dostęp do panelu.

Źródło: Sekurak [PL]

---

CISA dodaje dwie nowe luki do katalogu aktywnie exploitowanych podatności

Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) rozszerzyła swój katalog znanych podatności aktywnie wykorzystywanych przez cyberprzestępców o dwa nowe wpisy. Katalog KEV (Known Exploited Vulnerabilities) to oficjalny sygnał dla instytucji rządowych USA, które mają obowiązek w określonym czasie załatać wskazane luki — ale jest też cenną wskazówką dla całego sektora prywatnego. Regularne uzupełnianie katalogu pokazuje, jak szybko atakujący przechodzą od odkrycia podatności do masowej eksploatacji. CISA każdorazowo wskazuje też termin, do którego agencje federalne muszą wdrożyć poprawki. Warto monitorować ten katalog niezależnie od sektora — to jeden z najszybszych sposobów na priorytetyzację patchowania.

Źródło: CISA [EN]

---

🚨 INCYDENTY

Scattered Spider — 19-letni "Bouquet" aresztowany w Finlandii, zarzuty w USA

Peter Stokes, 19-latek z podwójnym obywatelstwem (USA i Estonia), znany w sieci jako "Bouquet", został zatrzymany na lotnisku w Helsinkach 10 kwietnia podczas próby wyjazdu do Japonii — i teraz stoi przed zarzutami federalnymi w USA za udział w grupie Scattered Spider. Prokuratorzy twierdzą, że Stokes dołączył do gangu jako 16-latek i uczestniczył w co najmniej czterech włamaniach. Jedna z operacji dotyczyła ataku na luksusowego sprzedawcę (maj 2025) — hakerzy zadzwonili do działu IT, podszyli się pod pracowników, zresetowali dane dostępowe i zażądali 8 mln USD za 100 GB skradzionych danych. Firma nie zapłaciła, ale poniosła ponad 2 mln USD kosztów odtworzenia. Stokes słynął z noszenia diamentowego łańcucha z napisem "HACK THE PLANET" i publicznie kpił z FBI. Scattered Spider to ta sama grupa, która atakowała wcześniej MGM Resorts i Caesars Entertainment.

Źródło: BleepingComputer [EN]

---

Wyciek danych z platformy Vimeo — naruszono środowisko dostawcy Anodot

Platforma wideo Vimeo potwierdziła incydent bezpieczeństwa, w którym naruszono dane użytkowników i klientów. Atak nie był wymierzony bezpośrednio w infrastrukturę Vimeo — sprawcy dostali się do danych przez środowisko zewnętrznego dostawcy usług analitycznych, firmy Anodot. To tzw. atak przez łańcuch dostaw: platforma sama dbała o swoje zabezpieczenia, ale zawiodło ogniwo u partnera. Vimeo poinformowało poszkodowanych i wszczęło dochodzenie. Incydent po raz kolejny przypomina, że bezpieczeństwo organizacji zależy nie tylko od jej własnych systemów, ale też od poziomu ochrony u każdego podwykonawcy mającego dostęp do danych. Dla wszystkich korzystających z Vimeo: warto zachować czujność wobec prób phishingu powołujących się na tę platformę.

Źródło: BleepingComputer [EN], SecurityWeek [EN]

---

Ukraińska cyberpolicja rozbiła grupę kradnącą i sprzedającą konta graczy za kryptowaluty

Ukraińska Cyberpolicja wykryła i rozbiła zorganizowaną grupę przestępczą, która masowo wykradała konta w popularnej grze online i sprzedawała je za kryptowaluty. Skala procederu mogła objąć setki tysięcy użytkowników — zarówno Ukraińców, jak i graczy z innych krajów. Przestępcy celowali przede wszystkim w wartościowe konta z rzadkimi itemami i wysokim poziomem. Zatrzymano trzy osoby, a śledztwo ma charakter rozwojowy. Handel skradzionymi kontami gamingowymi to działalność przestępcza często bagatelizowana — tymczasem może wiązać się z poważnymi stratami finansowymi i stanowić furtkę do dalszych oszustw, np. poprzez powiązane dane płatnicze czy emaile.

Źródło: CyberDefence24 [PL]

---

💡 CIEKAWOSTKI

VECT 2.0 — ransomware, który przez błąd w kodzie działa jako narzędzie do niszczenia danych

Badacze z Check Point Research ujawnili wstrząsającą prawdę o grupie ransomware VECT 2.0: z powodu krytycznego błędu implementacyjnego, identycznego we wszystkich trzech wariantach (Windows, Linux, ESXi), oprogramowanie trwale niszczy — zamiast szyfrować — każdy plik większy niż 131 KB. To obejmuje praktycznie wszystkie pliki mające znaczenie dla przedsiębiorstw: bazy danych, dyski wirtualnych maszyn, dokumenty i kopie zapasowe. VECT wyrzuca trzy z czterech nonces potrzebnych do odtworzenia kluczy, co czyni odzyskanie danych niemożliwym nawet dla samych atakujących. Ekspert Check Point mówi wprost: "w incydencie VECT płacenie okupu nie jest strategią odzyskania danych". VECT działa od grudnia 2025 jako RaaS (ransomware jako usługa), zawiązał partnerstwo z BreachForums i grupą TeamPCP, i oficjalnie twierdził, że zaatakował m.in. S&P Global. Lekcja dla każdej organizacji: kopie zapasowe offline to jedyna prawdziwa ochrona.

Źródło: The Hacker News [EN], The Register [EN]

---

Wojna gangów ransomware — 0APT i KryBit wzajemnie ujawniają swoje infrastruktury

W świecie cyberprzestępczości doszło do bezprecedensowej wymiany ciosów: grupa ransomware 0APT upubliczniła dane operacyjne grupy KryBit, ta zaś odwzajemniła się, hakując 0APT i defacując jej stronę z wiadomością "Następnym razem nie baw się z dorosłymi". Co ciekawsze, w toku ujawnionych danych wyszło na jaw, że 0APT sfałszowała ponad 190 rzekome ofiary opublikowane na swojej "wall of shame" — żadne z nich nie zostało naprawdę zaatakowane. Infrastruktura 0APT działała z serwera na systemie Android — nie na profesjonalnych serwerach. Obydwie grupy będą teraz musiały przebudować infrastrukturę i prawdopodobnie zmienić nazwę. Analitycy Halcyon zwracają uwagę, że za walką gangów kryje się finansowa presja: reputacja to waluta świata ransomware, a jej utrata działa zabójczo.

Źródło: Infosecurity Magazine [EN]

---

BlueNoroff / Lazarus — Północna Korea atakuje firmy krypto przez deepfake'owe spotkania Zoom i ClickFix

Grupie hakerskiej BlueNoroff (powiązanej z północnokoreańskim Lazarus) udało się przez pięć miesięcy infiltrować ponad 100 firm kryptowalutowych w ponad 20 krajach, a samo przejęcie kontroli nad systemem ofiary zajmowało niespełna 5 minut. Mechanizm był wyrafinowany: fałszywe zaproszenie Calendly prowadziło do podrobionej strony spotkania Zoom, która w tle wykradała obraz z kamery ofiary — do późniejszego użycia w deepfake'ach. Jednocześnie uruchamiała atak ClickFix (nakłanianie użytkownika do wklejenia szkodliwego kodu do własnego terminala). 80% ofiar pracowało w kryptowalutach lub blockchain, 45% to CEO i założyciele firm. Na serwerze atakujących znaleziono ponad 950 plików z materiałem do deepfake'ów. To kolejna odsłona północnokoreańskiej kampanii finansowania reżimu przez kradzież kryptowalut — tym razem z przemysłową skalą socjotechniki.

Źródło: Infosecurity Magazine [EN]

---

🎣 OSZUSTWA, SCAMY, EXPLOITY

SMS Blastery w samochodach — ukryte IMSI Catchery wyłamują się z sieci i zalewają telefony fałszywymi SMS-ami

Przestępcy jeżdżą po miastach z ukrytymi w bagażnikach urządzeniami zwanymi SMS Blasterami — są to fałszywe stacje bazowe (BTS), które "przejmują" sygnał komórkowy pobliskich smartfonów i wstrzykują do nich SMS-y podszywające się pod banki, kurierów i inne instytucje. Mechanizm jest fizycznie nie do odfiltrowania przez operatorów — atak w ogóle nie przechodzi przez ich infrastrukturę. Telefon automatycznie łączy się z najsilniejszym sygnałem, a gdy znajdzie się blisko takiej fałszywej stacji, dostaje phishingowy SMS z linkiem. Dodatkowe zagrożenie: ofiary tracą możliwość korzystania z numerów alarmowych podczas ataku. Służby w wielu krajach zatrzymały już sprawców używających tej techniki — m.in. w Kanadzie, Turcji i innych państwach. Obrona jest trudna, ale pomaga wyłączanie sieci 2G w ustawieniach telefonu tam, gdzie operator na to pozwala.

Źródło: Niebezpiecznik [PL], Dobreprogramy [PL]

---

NWHStealer — fałszywe instalatory ProtonVPN i mody do gier kradną hasła i portfele kryptowalutowe

Analitycy Malwarebytes ostrzegają przed nową falą kampanii dystrybuujących infostealera NWHStealer, ukrytego w zmodyfikowanych instalatorach popularnych narzędzi — ProtonVPN, OhmGraphite, HardwareVisualizer — oraz w modach do gier, np. Xeno. Złośliwe pliki są hostowane na pozornie zaufanych platformach: GitHub, GitLab i SourceForge. Kampania promuje się przez przejęte kanały YouTube z filmami instruktażowymi generowanymi przez AI — czyli ofiary oglądają realistyczne "tutoriale" zachęcające do pobrania skażonego oprogramowania. Po instalacji malware wykrada dane z przeglądarek, portfele kryptowalutowe i stosuje techniki ukrywania się (DLL hijacking, self-injection). Podstawowa zasada: pobieraj oprogramowanie wyłącznie z oficjalnych stron producentów, a nie z linków w filmach YouTube czy komentarzach na forach.

Źródło: Sekurak [PL]

---

CERT Orange: sztuczna inteligencja w rękach oszustów — nowa generacja fałszywych sklepów

Eksperci z CERT Orange Polska analizują rosnącą falę fałszywych sklepów internetowych tworzonych przy pomocy AI. Generatywna sztuczna inteligencja dramatycznie obniżyła poprzeczkę dla przestępców — do stworzenia przekonującego, kompletnego sklepu z opisami produktów, polityką zwrotów, stopką i nawet certyfikatem SSL wystarczy teraz kilka minut i minimalna wiedza techniczna. Sklepy te kopiują wzornictwo znanych marek lub wystawiają towary po cenach nie do odrzucenia. Pieniądze przelewane przez kupujących trafiają bezpośrednio do przestępców, a "zamówienie" nigdy nie dociera. Sztuczna inteligencja pozwala też błyskawicznie tworzyć warianty tej samej strony i zmieniać domenę po jej zablokowaniu. Przed zakupem w nieznanym sklepie warto sprawdzić datę rejestracji domeny (np. przez WHOIS), poszukać opinii i zweryfikować dane kontaktowe.

Źródło: Dobreprogramy / CERT Orange [PL]

---

ZUS ostrzega — oszuści podszywają się pod pracowników urzędu i żądają 800 zł "opłaty"

ZUS (Zakład Ubezpieczeń Społecznych) wydał oficjalne ostrzeżenie: przestępcy dzwonią do obywateli, podszywając się pod pracowników urzędu i żądają zapłaty 800 zł pod pretekstem "zaległości" lub "weryfikacji konta". To klasyczna forma vishingu (phishingu telefonicznego) — rozmówca brzmi wiarygodnie, często podaje imię i nazwisko "pracownika" oraz numer sprawy. ZUS przypomina, że nigdy nie dzwoni z żądaniem natychmiastowej płatności przez telefon. Jeśli ktoś podaje się za pracownika ZUS i prosi o przelew lub dane karty — należy rozłączyć się i samodzielnie zadzwonić na infolinię ZUS pod numer 22 560 16 00, aby zweryfikować, czy sprawa rzeczywiście istnieje. Nie wolno też oddzwaniać na numer z nieodebranego połączenia.

Źródło: Dobreprogramy [PL]

---

🌐 DEZINFORMACJA, CYBER WOJNA

Rosyjska operacja phishingowa na Signalu — celem niemieccy politycy i urzędnicy

Badacze zidentyfikowali kampanię phishingową wymierzoną w Niemcy, podejrzewaną o związki z rosyjskim wywiadem: celem było wyłudzenie dostępu do kont Signal należących do polityków, urzędników i dziennikarzy. Signal — uchodzący za jedną z najbezpieczniejszych platform komunikacyjnych — jest coraz częściej atakowany metodami socjotechnicznymi, bo trudno go złamać technicznie. Wcześniejsze doniesienia wskazywały m.in. na próbę ataku na Julię Klöckner, przewodniczącą Bundestagu. Ataki na komunikatory szyfrowane to wyraźna tendencja rosyjskich służb — skoro infrastruktura aplikacji jest bezpieczna, wystarczy nakłonić użytkownika do zeskanowania fałszywego kodu QR lub kliknięcia linku. Niemcy i inne kraje europejskie powinny pilnie szkolić pracowników publicznych z rozpoznawania tego typu prób.

Źródło: Security Affairs [EN]

---

Ukraiński informatyk werbował agentów dla rosyjskiego FSB — zatrzymany przez SBU

Służba Bezpieczeństwa Ukrainy (SBU) zatrzymała informatyka z obwodu czerkaskiego, który współpracował z rosyjską Federalną Służbą Bezpieczeństwa i tworzył kanały werbunkowe dla Moskwy. Jeden ze zwerbowanych przez niego agentów — bezrobotny — pomagał rosyjskim siłom w prowadzeniu ataków na zachodzie Ukrainy. Przypadek ten pokazuje, jak szeroko rosyjskie służby sięgają po ludzkie zasoby wywiadowcze — zarówno wśród specjalistów IT, jak i osób w trudnej sytuacji życiowej. Aktywne werbowanie cybernetyczne na terytorium Ukrainy to ciągłe zagrożenie, które służby starają się neutralizować. SBU zebrała materiał dowodowy potwierdzający działalność szpiegowską mężczyzny.

Źródło: CyberDefence24 [PL]

---

GlassWorm — dziesiątki złośliwych klonów rozszerzeń VS Code w ataku na deweloperów

Badacze z Dark Reading i SecurityWeek zidentyfikowali kolejną kampanię supply chain: dziesiątki złośliwych klonów popularnych rozszerzeń Visual Studio Code — zebranych pod nazwą GlassWorm — zostały opublikowane w repozytorium Open VSX, alternatywnym marketplace'ie dla edytorów kodu (szczególnie popularnym wśród użytkowników Linuksa i otwartych IDE). Klony wyglądają identycznie jak oryginały, mają podobne opisy i są aktywnie pobierane przez programistów. Kampania celuje bezpośrednio w środowiska deweloperskie i potoki CI/CD — oprogramowanie instalowane przez programistów może zawierać backdoory uruchamiane na serwerach produkcyjnych. To potwierdzenie, że atakujący przenoszą się z masowych instalacji na precyzyjne uderzenie w osoby tworzące kod — licząc na efekt kaskadowy w oprogramowaniu, które tworzą.

Źródło: Dark Reading [EN], SecurityWeek [EN]

---

Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 28 kwietnia 2026 r. W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.